Déploiement de serveurs de fédération

  • Article

Pour déployer des serveurs de fédération dans Services ADFS, effectuez chacune des tâches décrites dans Liste de vérification : Configuration d’un serveur de fédération.

Notes

Lorsque vous utilisez cette liste de vérification, nous vous recommandons de lire d’abord les références à la planification des serveurs de fédération dans le Guide de conception AD FS dans Windows Server 2012 avant de commencer les procédures pour configurer les serveurs. Suivre la liste de vérification de cette façon permet de mieux comprendre le processus de conception et de déploiement pour les serveurs de fédération.

À propos des serveurs de fédération

Les serveurs de fédération sont des ordinateurs exécutant Windows Server 2008 sur lesquels le logiciel AD FS est installé et qui ont été configurés pour agir dans le rôle serveur de fédération. Les serveurs de fédération authentifient ou routent les requêtes provenant de comptes d’utilisateurs d’autres organisations et d’ordinateurs clients qui peuvent se trouver n’importe où sur Internet.

Le fait d’installer le logiciel AD FS sur un ordinateur et d’utiliser l’Assistant Configuration du serveur de fédération AD FS pour le configurer pour le rôle serveur de fédération fait de cet ordinateur un serveur de fédération. Il rend également le composant logiciel enfichable Gestion AD FS disponible sur cet ordinateur dans le menu Démarrer\Outils d’administration\ afin que vous puissiez spécifier les éléments suivants :

  • Nom d’hôte AD FS où les organisations et les applications partenaires envoient des demandes de jeton et des réponses

  • Identificateur AD FS que les organisations et applications partenaires utilisent pour identifier le nom ou l’emplacement unique de votre organisation

  • Certificat de signature de jeton que tous les serveurs de fédération d’une batterie de serveurs utilisent pour émettre et signer des jetons

  • Emplacement des pages web ASP.NET personnalisées pour l’ouverture de session, la fermeture de session et la découverte du partenaire de compte qui améliorent l’expérience client

    Notes

    La majorité de ces paramètres d’interface utilisateur principaux sont contenus dans le fichier web.config sur chaque serveur de fédération. Le nom d’hôte AD FS et les valeurs d’identificateur AD FS ne sont pas spécifiés dans le fichier web.config.

Les serveurs de fédération hébergent un moteur d’émission de revendications qui émet des jetons basés sur les informations d’identification (par exemple, le nom d’utilisateur et le mot de passe) qui lui sont présentées. Un jeton de sécurité est une unité de données signée par chiffrement qui exprime une ou plusieurs revendications. Une revendication est une instruction qu’un serveur effectue (par exemple, nom, identité, clé, groupe, privilège ou fonctionnalité) à propos d’un client. Une fois les informations d’identification vérifiées sur le serveur de fédération (via le processus d’ouverture de session de l’utilisateur), les revendications de l’utilisateur sont collectées par le biais de l’examen des attributs utilisateur qui sont stockés dans le magasin d’attributs spécifié.

Dans les conceptions d’authentification unique (SSO) de web fédérée (conceptions AD FS dans lesquelles deux ou plusieurs organisations sont impliquées), les revendications peuvent être modifiées par des règles de revendication pour une partie de confiance spécifique. Les revendications sont intégrées dans un jeton qui est envoyé à un serveur de fédération dans l’organisation partenaire de ressource. Une fois qu’un serveur de fédération dans le partenaire de ressource a reçu les revendications en tant que revendications entrantes, il exécute le moteur d’émission de revendications pour exécuter un ensemble de règles de revendication afin de filtrer, de transmettre ou de transformer ces revendications. Les revendications sont ensuite intégrées dans un nouveau jeton qui est envoyé au serveur Web dans le partenaire de ressource.

Dans la conception de l’authentification unique web (conception AD FS dans laquelle une seule organisation est impliquée), un serveur de fédération unique peut être utilisé afin que les employés puissent se connecter une seule fois et toujours accéder à plusieurs applications.